ช่องโหว่หมายเลข CVE-2019-0859 ที่ส่งผลให้มีการเพิ่มระดับสิทธิ์ และมีการแอบฝัง PowerShell backdoor ไปยังระบบปฎิบัติการ Windows ได้ ปัจจุบันได้ถูกแก้ไขแพทช์ล่าสุดของ Microsoft และมีการอัพเดทแพทช์ ประจำเดือนเมษายน 2019 แล้ว

ทาง Kaspersky กล่าวว่าช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานฟรี จะถูกใช้โดยนักแสดงการคุกคามที่ไม่มีชื่อในการดำเนินการ PowerShell ซึ่งเป็นงานอัตโนมัติของ Microsoft และการจัดการการกำหนดค่าเพื่อพยายามดาวน์โหลดสคริปต์ขั้นที่สองจาก Pastebin สคริปต์ระยะที่สองนี้เรียกใช้สคริปต์อื่นที่คลายการใช้ shellcode และ shellcode สร้าง HTTP reverse shell ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์ ส่วนใหญ่จะถูกโจมตีสำหรับ Windows รุ่น 64 บิต (ตั้งแต่ Windows 7 ไปจนถึงรุ่นเก่ากว่าของ Windows 10) และใช้ประโยชน์จากช่องโหว่โดยใช้เทคนิค HMValidateHandle ที่รู้จักกันดีในการเลี่ยง ASLR

ส่วนช่องโหว่อื่นๆของ Windows เช่น (CVE-2019-0803) ที่คล้ายกับช่องโหว่ที่ระบุโดย Kaspersky นั้นได้รับการแก้ไขในเดือนนี้โดย Microsoft ข้อบกพร่องดังกล่าวซึ่งรายงานโดย บริษัท Donghai Zhu ของทีมรักษาความปลอดภัยข่าวกรอง Cloud ของ Alibaba ก็ถูกนำไปใช้เช่นกัน แต่ก็ไม่มีรายละเอียดใด ๆ เกี่ยวกับการโจมตี

ที่มา: www.

Facebook ออกแถลงการณ์ยอมรับว่าได้เก็บรหัสผ่านของผู้ใช้ Instagram นับล้านผู้ใช้ในรูปแบบการจัดเก็บเป็นข้อความธรรมดาบน log ของเซิร์ฟเวอร์ภายใน

Facebook ออกแถลงการณ์เพื่ออัปเดตข้อมูลจากเหตุการณ์เมื่อเดือนที่แล้วที่พบว่ามีการจัดเก็บรหัสผ่านของผู้ใช้จำนวนมากในรูปแบบการจัดเก็บเป็นข้อความธรรมดาบน log ของเซิร์ฟเวอร์ภายใน ประกอบไปด้วยรหัสผ่านของผู้ใช้งาน Facebook Lite จำนวนหลายร้อยล้านผู้ใช้ รหัสผ่านของผู้ใช้ Facebook จำนวนหลายสิบล้านผู้ใช้และรหัสผ่านของบัญชี Instagram จำนวนหลายหมื่นผู้ใช้ แต่จากการตรวจสอบเพิ่มเติมล่าสุด Facebook พบว่ามีการจัดเก็บรหัสผ่านของบัญชี Instagram มากกว่านั้นเป็นจำนวนกว่าล้านผู้ใช้งาน

โดยรหัสผ่านดังกล่าวถูกจัดเก็บในรูปแบบข้อความธรรมดา (plain text) บน log ของเซิร์ฟเวอร์ภายในของ Facebook โดย log สามารถเข้าถึงได้โดยพนักงานของ Facebook เท่านั้น และจากการสอบสวนพบว่ายังไม่มีการใช้งานรหัสผ่านดังกล่าวในทางที่ผิดจากการพนักงานของ Facebook ซึ่งจะมีการแจ้งผู้ใช้งานที่ได้รับผลกระทบต่อไป

ทั้งนี้ผู้ใช้งาน Instagram ควรทำการเปลี่ยนรหัสผ่านเพื่อความปลอดภัย

ที่มา: www.

Drupal ระบบการจัดการเนื้อหาแบบ open-source ที่ได้รับนิยมเผยแพร่การปรับปรุงด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ความรุนแรงระดับ Moderately Critical ใน Drupal Core ที่อาจทำให้ผู้โจมตีจากระยะไกลสามารถแฮ็กเว็บไซต์ได้

ผู้พัฒนาของ Drupal ระบุว่าช่องโหว่ด้านความปลอดภัยทั้งหมดของ Drupal ที่ได้รับการปรับปรุงในเดือนนี้เกิดจากการใช้งาน Libraries ภายนอก (third-party libraries) ซึ่งรวมอยู่ใน Drupal 8.6, Drupal 8.5 หรือก่อนหน้า รวมไปถึง Drupal 7 หนึ่งในข้อบกพร่องด้านความปลอดภัยดังกล่าวคือช่องโหว่ cross-site scripting (XSS) ที่อยู่ใน JQuery ซึ่งเป็น JavaScript library ที่ได้รับความนิยมมากที่สุดที่ถูกใช้งานโดยเว็บไซต์หลายล้านแห่ง รวมถึงได้รับการติดตั้งรวมมากับ Drupal Core ทำให้เมื่อ JQuery ได้เปิดตัว jQuery 3.4.0 เวอร์ชั่นล่าสุด เพื่อแก้ไขช่องโหว่ดังกล่าว Drupal จึงจำเป็นต้องอัปเดตเพื่อแก้ไขช่องโหว่นี้ด้วย

ช่องโหว่ด้านความปลอดภัยอีก 3 ช่องโหว่ที่ได้รับการปรับปรุงในเดือนนี้ อยู่ในส่วนของ Symfony PHP components ที่ใช้โดย Drupal Core ซึ่งอาจส่งผลให้เกิดการโจมตี Cross-site Scripting (CVE-2019-10909), Remote Code Execution (CVE-2019-10910) และ Authentication Bypass (CVE-2019-1091)

แนะนำให้อัปเดต Drupal เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงจากการถูกโจมตีจากช่องโหว่โดย
ในกรณีที่ใช้ Drupal 8.6 ควรอัปเดตให้เป็นรุ่น 8.6.15
ในกรณีที่ใช้ Drupal 8.6 ควรอัปเดตให้เป็นรุ่น 8.5.15
หรือในกรณีที่ใช้ Drupal ควรอัปเดตให้เป็นรุ่น 7 7.66

ที่มา: thehackernews.

กลุ่มแฮกเกอร์ชื่อว่า "Sea Turtle" ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาล โจมตีเพื่อทำการควบคุม DNS ในหลายประเทศ (DNS Hijacking) และใช้เป็นเครื่องมือในการเปลี่ยนเส้นทาง เพื่อหลอกลวงเหยื่อไปยังเว็บไซต์ปลอมและขโมยข้อมูลสำคัญ

เมื่อสัปดาห์ที่ผ่านมามีรายงานจาก Cisco Talos ระบุว่าพบมีหน่วยงานและองค์กรทั้งจากภาครัฐและเอกชนประมาณ 40 แห่งใน 13 ประเทศของตะวันออกกลางและอเมริกาเหนือตกเป็นเหยื่อการโจมตีที่ยาวนานมาตั้งแต่เมื่อประมาณสองปีที่แล้ว โดยผู้โจมตีจะทำการควบคุม DNS Server ของเหยื่อ เพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่ถูกสร้างขึ้นให้เหมือนเว็บไซต์จริงที่ถูกต้อง เพื่อขโมยข้อมูลสำคัญ อย่างเช่นชื่อผู้ใช้งาน และรหัสผ่านสำหรับเข้าสู่ระบบ เพื่อนำไปใช้ขโมยข้อมูลสำคัญในองค์กรต่อไป อย่างเช่น SSL Certificate เป็นต้น

ทั้งนี้เชื่อว่าวิธีการที่กลุ่มแฮกเกอร์ใช้ในการโจมตีครั้งนี้มีทั้งการหลอกให้พนักงานที่อยู่ในบริษัทที่รับจดทะเบียนโดเมนติดตั้งมัลแวร์ผ่านอีเมลหลอกลวงที่ส่งมา (Spear Phishing) และอาศัยช่องโหว่ในระบบเพื่อเข้าถึงระบบ โดยหนึ่งในช่องโหว่ที่เชื่อว่าถูกนำมาใช้คือ ช่องโหว่ที่อนุญาตให้สามารถรันคำสั่งอันตราย (RCE) ผ่าน Telnet ใน Cluster Management Protocol ของ Cisco IOS และ IOS XE Router (CVE-2017-3881)

Cisco Talos ได้แนะนำให้องค์กรที่มีการใช้งาน DNS Record เลือกที่จะใช้งาน Registry Lock Service เพื่อแจ้งให้ทราบเมื่อพบว่ามีความพยายามเปลี่ยนแปลง DNS Record หรือเลือกใช้งาน multi-factor authentication เช่น DUO เพื่อเข้าถึง DNS Record ขององค์กร นอกเหนือจากนี้ไม่ควรมองข้ามการแพทช์เครื่อง server ให้อัพเดทอย่างสม่ำเสมอ

สามารถอ่านข้อมูล IOCs ได้จากรายงานฉบับเต็ม:blog.

บริษัทโตโยต้าในญี่ปุ่นถูกแฮ็ก ส่งผลให้ข้อมูลลูกค้าหลายล้านรายถูกเข้าถึงโดยไม่ได้รับอนุญาต

เมื่อวันที่ 29 มีนาคม 2019 มีการประกาศจาก บริษัทโตโยต้ามอเตอร์คอร์ปอเรชั่น (TMC) ในญี่ปุ่นว่า บริษัทโตโยต้าโตเกียวเซลส์โฮลดิ้งส์ ซึ่งเป็นบริษัทในเครือของ TMC รวมทั้งบริษัทตัวแทนจำหน่ายอิสระในเครือตกเป็นเหยื่อของการโจมตีทางไซเบอร์ และเชื่อได้ว่าตัวแทนจำหน่ายของโตโยต้าหรือ Lexus ในสหรัฐอเมริกากำลังตกเป็นเป้าหมายการโจมตีเช่นเดียวกัน

บริษัทรายงานว่าแฮ็กเกอร์ได้บุกรุกเข้ามาในระบบ และสามารถเข้าถึงข้อมูลที่ไม่ได้รับอนุญาตหลายสาขาที่ตั้งอยู่ในโตเกียว โตโยต้ากล่าวว่าเซิร์ฟเวอร์ที่แฮ็กเกอร์เข้าถึงมีข้อมูลการขายของลูกค้าที่เก็บไว้สูงถึง 3.1 ล้านราย ซึ่งรวมถึงชื่อและวันเกิด แต่ไม่มีข้อมูลบัตรเครดิต

นอกจากนี้ ทางโตโยต้าเวียดนามกล่าวว่าเป็นไปได้ว่าบริษัทอาจถูกแฮ็กเช่นเดียวกัน บริษัท โตโยต้าเวียดนามมอเตอร์ (TMV) พบว่า บริษัทมีแนวโน้มที่จะถูกโจมตีผ่านทางเครือข่ายและอาจมีการเข้าถึงข้อมูลลูกค้าบางส่วน และขณะนี้อยู่ในขั้นตอนการสืบสวน

ที่มา:infosecurity-magazine